logo ntadmins

OT-Security stellt spezielle Herausforderungen bei der PKI-Implementierung

23. Juni 2026
hacker NT$ PIxa PeteLinforth
Quelle: Pete Linforth, Pixabay

In vernetzten Produktionsumgebungen spielt die Public-Key-Infrastructure (PKI) eine entscheidende Rolle zur Verwaltung von kryptografischen Identitäten. Im Unterschied zur Implementierung einer PKI in einer IT-Umgebung gibt es bei OT-Umgebungen allerdings einige Besonderheiten, die Sicherheitsverantwortliche im Blick haben sollten.

Experten sprechen von sechs Herausforderungen, die es bei der PKI-Implementierung in einer OT-Umgebung zu beachten gilt:

  • Ressourcenbeschränkte Komponenten: Häufig verfügen OT-Geräte nur über begrenzte CPU-, RAM- und Speicherkapazitäten. Dadurch passen vollständige Zertifikatssperrlisten (CRLs) unter Umständen nicht in den Arbeitsspeicher oder lange TLS-Handshakes können zu Timeouts führen. Deshalb ist es notwendig, die Architektur für die Zertifikatssperrung in OT-Umgebungen gezielt zu konzipieren.
  • Segmentierte & eingeschränkte Konnektivität: Viele OT-Netzwerkzonen haben keinen Internetzugang. Im laufenden Betrieb darf daher keine Abhängigkeit von Cloud-Diensten bestehen. Externe OCSP-Responder sind nicht erreichbar. Gleichzeitig erschwert die hohe Anzahl an Netzwerkzonen mit sehr restriktiven Kommunikationsvorgaben die Zertifikatsprüfung und den Zertifikatswiderruf. Das Identity-Lifecycle-Management muss deshalb auch ohne Internetzugang und über Zonengrenzen hinweg funktionieren.
  • Ausfallzeiten sind nicht tolerierbar: Die Verfügbarkeit der Certificate Authority (CA) ist Teil der kritischen Infrastruktur. Ausfälle von OCSP-Respondern können zu Kommunikationsfehlern führen, während eine gestörte CRL-Verteilung ein operatives Risiko darstellt. Eine hochverfügbare PKI ist daher nicht verhandelbar. Zertifikate müssen jederzeit widderrufen werden können.
  • Anforderungen an deterministische Kommunikation: Industrieprotokolle erfordern vorhersehbare, begrenzte Latenzen, stabiles Sitzungsverhalten und keine unvorhersehbaren Verzögerungen beim Verbindungsaufbau. Wird PKI ohne Berücksichtigung der OT-Anforderungen umgesetzt, können Widerrufsprüfungen unkontrollierte Latenzen verursachen, externe Abhängigkeiten die Kommunikation destabilisieren und Handshake-Verzögerungen Echtzeitanforderungen verletzen. Die Zertifikatsvalidierung darf Kommunikationszeiten daher weder verzögern noch unvorhersehbar variieren lassen.
  • Sehr hohe Anzahl von Maschinenidentitäten: Speicherprogrammierbare Steuerungen (SPS/PLC) und Fernwirkeinheiten (RTU), Sensoren und Messgeräte, Edge-Gateways sowie eingebettete Komponenten benötigen eigene Maschinenidentitäten. Während es in der IT oft um tausende Server geht, erreicht die Zahl der OT-Geräte schnell die Millionen. Automatisierung ist daher keine Frage des Komforts, sondern eine strukturelle Notwendigkeit.
  • Komplexe Vertrauensdomänen: Interne Betriebsteams, externe Dienstleister, OEM-Lieferanten, Wartungsteams und Cloud-Dienste agieren in unterschiedlichen Vertrauensdomänen. Vertrauen muss daher segmentiert, kontrolliert und auditierbar gestaltet werden. (rhh)
    !!!
    BxC Security

Lesen Sie auch

ViewTile

Open-Source-Plattform kartiert das Ökosystem der Cyber-Kriminalität

hack NT Pixa vickygharat

Cyber Resilience Act darf nicht zum Flaschenhals werden

cloud NT pixa Tumisu

Daten in Claude Enterprise schützen